Поделиться через


Работа с подозрительными действиями

Область применения: Advanced Threat Analytics версии 1.9

В этой статье объясняется, как работать с Advanced Threat Analytics.

Проверка подозрительных действий в строке времени атаки

После входа в консоль ATA вы автоматически перейдете к открытой строке времени подозрительных действий. Подозрительные действия перечислены в хронологическом порядке с самыми новыми подозрительными действиями в верхней части временной строки. Каждое подозрительное действие содержит следующие сведения:

  • Задействованные сущности, включая пользователей, компьютеры, серверы, контроллеры домена и ресурсы.

  • Время и интервал времени подозрительных действий.

  • Серьезность подозрительного действия: высокий, средний или низкий.

  • Состояние: открыто, закрыто или подавлено.

  • Возможность

    • Поделитесь подозрительными действиями с другими пользователями в вашей организации по электронной почте.

    • Экспортируйте подозрительное действие в Excel.

Примечание.

  • При наведении указателя мыши на пользователя или компьютер отображается мини-профиль сущности, который предоставляет дополнительные сведения о сущности и содержит количество подозрительных действий, с которыми связана сущность.
  • Щелкнув сущность, вы перейдете к профилю сущности пользователя или компьютера.

Подозрительные действия ATA временная шкала изображение.

Фильтр списка подозрительных действий

Чтобы отфильтровать список подозрительных действий, выполните следующие действия:

  1. В области Фильтр по в левой части экрана выберите один из следующих параметров: Все, Открыть, Закрыть или Отключить.

  2. Чтобы отфильтровать список, выберите Высокий, Средний или Низкий.

Серьезность подозрительных действий

  • Низкая

    Указывает на подозрительные действия, которые могут привести к атакам, предназначенным для злоумышленников или программного обеспечения для получения доступа к данным организации.

  • Средний

    Указывает на подозрительные действия, которые могут подвергнуть определенные удостоверения риску для более серьезных атак, которые могут привести к краже удостоверений или эскалации привилегий.

  • Высокий

    Указывает на подозрительные действия, которые могут привести к краже удостоверений, эскалации привилегий или другим атакам с высоким воздействием.

Исправление подозрительных действий

Состояние подозрительного действия можно изменить, щелкнув текущее состояние подозрительного действия и выбрав один из следующих вариантов Открыть, Подавлено, Закрыто или Удалено. Для этого щелкните три точки в правом верхнем углу определенного подозрительного действия, чтобы отобразить список доступных действий.

Действия ATA для подозрительных действий.

Состояние подозрительных действий

  • Открыть: в этом списке отображаются все новые подозрительные действия.

  • Закрыть. Используется для отслеживания подозрительных действий, которые вы определили, изучили и исправили для устранения.

    Примечание.

    Если одно и то же действие будет обнаружено снова в течение короткого периода времени, ATA может повторно открыть закрытое действие.

  • Подавление. Подавление действия означает, что вы хотите игнорировать его сейчас и получать оповещение только при наличии нового экземпляра. Это означает, что при наличии аналогичного оповещения ATA не открывает его. Но если оповещение останавливается в течение семи дней, а затем отображается снова, вы генерации оповещений снова.

  • Удалить. Если удалить оповещение, оно удаляется из системы, из базы данных, и вы НЕ сможете восстановить его. Щелкнув удалить, вы сможете удалить все подозрительные действия одного типа.

  • Исключить. Возможность исключить сущность из создания дополнительных оповещений определенного типа. Например, можно настроить ATA, чтобы исключить из оповещения определенной сущности (пользователя или компьютера) о подозрительных действиях определенного типа, например определенного администратора, который запускает удаленный код, или сканера безопасности, выполняющего разведку DNS. Помимо возможности добавлять исключения непосредственно в подозрительное действие, которое обнаруживается в строке времени, вы также можете перейти на страницу Конфигурация в раздел Исключения, а для каждого подозрительного действия вручную добавлять и удалять исключенные сущности или подсети (например, для pass-the-Ticket).

    Примечание.

    Страницы конфигурации могут быть изменены только администраторами ATA.

См. также